用JAVA签发数字证书

最新推荐文章于 2022-11-17 15:45:11 发布
最新推荐文章于 2022-11-17 15:45:11 发布
阅读量489 收藏 3
点赞数
分类专栏: JAVA 文章标签: Java Tomcat Security Scheme ITeye
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huashanlunjian/article/details/83950213
版权

前一篇http://zhuyuehua.iteye.com/blog/1101041 说到创建TOMCAT下HTTPS项目,现在接着说,如何签发证书。

打开cmd

1.输入D:

 

2.输入cd keys

 

3.输入命令查看创建的密钥库的证书列表

keytool -list -v -keystore mykey.keystore -storepass 123456

如下图:

 



 4. 之前导出过server.cer文件,把这个文件安装到操作系统,过程默认。

 

5.创建一个密钥对,和之前一样,输入如下命令:

 

--创建密钥对

keytool -genkey -dname "CN=tmp, OU=NC, O=Shanghai University, L=ZB, ST=Shanghai,C=CN" -alias client  -keyalg RSA -keystore myclientkey.store -keypass 654321 -storepass 654321 -validity 1000

 

--导出公钥

keytool -export -trustcacerts -alias client  -file client.cer -keystore  myclientkey.store -storepass 654321

 

双击client.cer可以看到:



 该证书不被系统信任,且颁发者和颁发给都是tmp

 

5.签发证书,这里采用的是JAVA程序来签发。可以用OPENSSL签发或者到正式CA机构签发。

 

由于已经把server.cer安装到客户机电脑上,所以客户机操作系统会信任server.cer中的机构签发的证书。

 

这里就用server.cer中的机构来签发client.cer

 

签发代码:

package com.syspro.test;

import java.io.*;
import java.security.*;
import java.security.cert.*;
import java.util.*;
import java.math.*;
import sun.security.x509.*;
public class SignCert {
	
	private String mKeystore = "D:/keys/mykey.keystore"; // 密锁库路径
	private char[] mKeystorePass = "123456".toCharArray();// 密锁库密码
	private char[] mSignPrivateKeyPass = "123456".toCharArray();// 取得签发者私锁所需的密码
	private String mSignCertAlias = "keytest";// 签发者别名
	private String mSignedCert = "D:/keys/client.cer"; // 被签证书
	private String mNewCert = "D:/keys/clientSignKey.cer"; // 签发后的新证书全名
	private int mValidityDay = 3000; // 签发后的新证书有效期(天)

	private PrivateKey mSignPrivateKey = null;// 签发者的私锁
	private X509CertInfo mSignCertInfo = null;// 签发证书信息
	private X509CertInfo mSignedCertInfo = null;// 被签证书信息
	   
	 public void  Sign() throws Exception{
			try {
				/**
				 * 证书签名
				 */
				getSignCertInfo(); // 获取签名证书信息
				signCertificate(); // 用签名证书信息签发待签名证书
				createNewCertificate(); // 创建并保存签名后的新证书
			} catch (Exception e) {
				System.out.println("Error:" + e.getMessage());
			}
	 }
	 
	 /**
	 * 取得签名证书信息
	 * @throws Exception
	 */
	 private void getSignCertInfo() throws Exception
	 {
	 FileInputStream vFin=null;
	 KeyStore vKeyStore=null;
	 java.security.cert.Certificate vCert=null;
	 X509CertImpl vCertImpl=null;
	 byte[] vCertData=null;

	 //获取签名证书密锁库
	 vFin=new FileInputStream(mKeystore); 
	 vKeyStore=KeyStore.getInstance("JKS");
	 vKeyStore.load(vFin,mKeystorePass);
	 //获取签名证书
	 vCert= vKeyStore.getCertificate(mSignCertAlias);
	 vCertData=vCert.getEncoded();
	 vCertImpl=new X509CertImpl(vCertData);
	 //获取签名证书信息
	 mSignCertInfo=(X509CertInfo)vCertImpl.get(X509CertImpl.NAME+"."+X509CertImpl.INFO);
	 mSignPrivateKey=(PrivateKey)vKeyStore.getKey(mSignCertAlias,mSignPrivateKeyPass);
	 vFin.close();
	 }



 	/**
 	 * 取得待签证书信息,并签名待签证书
 	 * 
 	 * @throws Exception
 	 */
 	private void signCertificate() throws Exception {
 		FileInputStream vFin = null;
 		java.security.cert.Certificate vCert = null;
 		CertificateFactory vCertFactory = null;
 		byte[] vCertData = null;
 		X509CertImpl vCertImpl = null;

 		// 获取待签名证书
 		vFin = new FileInputStream(mSignedCert);
 		vCertFactory = CertificateFactory.getInstance("X.509");
 		vCert = vCertFactory.generateCertificate(vFin);
 		vFin.close();
 		vCertData = vCert.getEncoded();
 		// 设置签名证书信息:有效日期、序列号、签名者、数字签名算发
 		vCertImpl = new X509CertImpl(vCertData);
 		mSignedCertInfo = (X509CertInfo) vCertImpl.get(X509CertImpl.NAME + "."
 				+ X509CertImpl.INFO);
 		mSignedCertInfo.set(X509CertInfo.VALIDITY, getCertValidity());
 		mSignedCertInfo.set(X509CertInfo.SERIAL_NUMBER, getCertSerualNumber());
 		mSignedCertInfo.set(X509CertInfo.ISSUER + "."
 				+ CertificateIssuerName.DN_NAME,
 				mSignCertInfo.get(X509CertInfo.SUBJECT + "."
 						+ CertificateIssuerName.DN_NAME));
 		mSignedCertInfo.set(CertificateAlgorithmId.NAME + "."
 				+ CertificateAlgorithmId.ALGORITHM, getAlgorithm());

 	}

 	/**
 	 * 待签签证书被签名后,保存新证书
 	 * 
 	 * @throws Exception
 	 */
 	private void createNewCertificate() throws Exception {
 		FileOutputStream vOut = null;
 		X509CertImpl vCertImpl = null;
 		// 用新证书信息封成为新X.509证书
 		vCertImpl = new X509CertImpl(mSignedCertInfo);
 		// 生成新正书验证码
 		vCertImpl.sign(mSignPrivateKey, "MD5WithRSA");
 		vOut = new FileOutputStream(mNewCert );
 		// 保存为der编码二进制X.509格式证书
 		vCertImpl.derEncode(vOut);
 		vOut.close();

 	}

 	// 辅助方法===========================================================================

 	/**
 	 * 得到新证书有效日期
 	 * 
 	 * @throws Exception
 	 * @return CertificateValidity
 	 */
 	private CertificateValidity getCertValidity() throws Exception {
 		long vValidity = (60 * 60 * 24 * 1000L) * mValidityDay;
 		Calendar vCal = null;
 		Date vBeginDate = null, vEndDate = null;
 		vCal = Calendar.getInstance();
 		vBeginDate = vCal.getTime();
 		vEndDate = vCal.getTime();
 		vEndDate.setTime(vBeginDate.getTime() + vValidity);
 		return new CertificateValidity(vBeginDate, vEndDate);
 	}

 	/**
 	 * 得到新证书的序列号
 	 * 
 	 * @return CertificateSerialNumber
 	 */
 	private CertificateSerialNumber getCertSerualNumber() {
 		Calendar vCal = null;
 		vCal = Calendar.getInstance();
 		int vSerialNum = 0;
 		vSerialNum = (int) (vCal.getTimeInMillis() / 1000);
 		return new CertificateSerialNumber(vSerialNum);
 	}

 	/**
 	 * 得到新证书的签名算法
 	 * 
 	 * @return AlgorithmId
 	 */
 	private AlgorithmId getAlgorithm() {
 		AlgorithmId vAlgorithm = new AlgorithmId(
 				AlgorithmId.md5WithRSAEncryption_oid);
 		return vAlgorithm;
 	}
 	
 	public static void main(String args[]) throws UnsupportedEncodingException
	{
		SignCert s = new SignCert();
		try {
			s.Sign();
		} catch (Exception e) {
			e.printStackTrace();
		}
	}

}

 打开签名完成后的新证书clientSignKey.cer,如下图:

 



 会看到此时,操作系统会信任该证书,而且颁发者变成了server.cer中的localhost

 

再将签名后的数字证书clientSignKey.cer和CA证书server.cer导入myclientkey.store库中,命令如下:注意先后顺序

先倒入CA证书
keytool -import -alias ca -keystore D:\keys\myclientkey.store  -trustcacerts -file D:\keys\server.cer -storepass 654321

注意-alias 和之前的不一样。

再导入签名后的证书:

keytool -import -alias client -keystore D:\keys\myclientkey.store  -trustcacerts -file D:\keys\

clientSignKey.cer -storepass 654321

 

注意-alias 和之前的一样。

 

操作完后修改tomcat的server.xml文件,如下:

  <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" 
				port="8443"  enableLookups="true" 
				disableUploadTimeout="true" acceptCount="100" 
				maxThreads="200" scheme="https" secure="true" 
				SSLEnabled="true"  sslProtocol="TLS" 
				clientAuth="false"
				keystoreFile="D:\keys\myclientkey.store" 
				keystorePass="654321" />

 然后启动tomcat,就会发现不会再提示了。

 

注:由于myclientkey.store的cn不是localhost,所以之前那样的设置打开网站时还是会提示不信任的证书。解决办法是将

myclientkey.store的cn写成localhost(你需要访问的网站地址),当然之前那个CA的密钥库的CN就不要写成localhost了,

随便写个别的就好。

 

 

注意,这样之后httpclient还是不会信任该证书,可以这样操作:

切换到<java-home>\jar\lib\security\目录下:

keytool -import -noprompt -keystore cacerts -storepass changeit -alias yourEntry1 -file

clientSignKey.cer

JAVA程序签发数字证书
cyy089074316的专栏
06-10 1784
/*  * Title:  *  * Description:  *  * Copyright: Copyright (c) 2007  *  * Company:  *  * @author ifwater  * @version 1.0  */ /*CA签发数字证书应该使用自己的私钥,CA自身的证书并不包含私钥的信息,因此需要从密钥库mykeystore中提取。此
java实现签发数字证书
billdengyj的专栏
08-12 1531
最近研究了一下数字签名和关于证书相关。证书必须通过CA权威机构签发,但在开发期间有多种途径实现签发证书用于测试:1)去相关ca获取测试证书,一般有效期在15-30天2)用keytool工具可以生成证书,但不能实现签发.3)用openssl实现,不过对c或c++不熟悉的用起来比较麻烦4)利用weblogic提供的CertGen实现签发。综合上述几种途径(这几中方法多少都要配合keytool实现)
java 实现数字证书的操作实现网络安全
12-12
java 实现的数字对数字证书的管理的客户端,包含功能:数字证书的创建(初始化),内容查看,pin码修改,导入与导出,数字证书的删除,服务器端简单验证不同持有不同数字证书的用户的不同权限
如何用JAVA代码签发数字证书
weixin_34174422的博客
11-14 793
2019独角兽企业重金招聘Python工程师标准>>> ...
SM2 SM3 X.509 Cert 国密 数字签名 算法 国密证书 生成 签发 证书请求 keystore 纯java.zip
最新发布
01-14
Java是一种高性能、跨平台的面向...自动内存管理(垃圾回收): Java具有自动内存管理机制,通过垃圾回收器自动回收不再使用的对象,使得开发者不需要手动管理内存,减轻了程序员的负担,同时也减少了内存泄漏的风险。
Certificate_java_java数字签名_java签名证书_数字证书_
10-04
数字证书是一种电子文档,由可信的第三方机构(称为证书颁发机构,简称CA)签发,用于证明网络实体的身份。它包含了公钥的所有者信息、公钥本身、颁发者的身份以及证书的有效日期。在Java中,这些证书通常存储在JKS...
Java实现数字证书生成签名的简单实例
09-01
在本文中,我们将深入探讨如何使用Java来实现数字证书生成签名的简单实例。数字签名证书在信息安全领域扮演着至关重要的角色,它确保了数据的完整性和发送者的身份验证。Java平台提供了一套丰富的API,使得开发者...
java获取数字证书信息
12-27
在本篇文章中,我们将深入探讨如何使用Java来获取数字证书的信息,包括使用TOMCAT和JDK搭建SSL服务的过程、如何用OpenSSL签发证书以及如何支持第三方CA等内容。 #### 一、使用TOMCAT和JDK搭建SSL服务 ##### 1. ...
JAVA程序生成与签发数字证书详解
本文主要介绍了如何使用JAVA程序签发数字证书以及与数字证书相关的操作,如创建、读取和维护密钥库。其中涉及到的关键步骤包括使用keytool工具创建和管理数字证书,设置密钥库密码,指定密钥算法和长度,以及在非...
Java 生成证书的数字签名.rar
07-10
Java 生成数字签名,数字证书的实现代码,得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名.Signature mySig = Signature.getInstance("SHA1WithRSA"); //用指定算法产生签名对象   mySig.initSign(myKeyPair.getPrivate()); //用私钥初始化签名对象   mySig.update(info); //将待签名的数据传送给签名对象(须在初始化之后)   byte[] sigResult = mySig.sign(); //返回签名结果字节数组   System.out.println("签名后信息: " new String(sigResult) );   //用公钥验证签名结果   mySig.initVerify(myKeyPair.getPublic()); //使用公钥初始化签名对象,用于验证签名   mySig.update(info); //更新签名内容   boolean verify= mySig.verify(sigResult); //得到验证结果   System.out.println( "签名验证结果: " verify);
自颁私钥文件和证书文件demo-java
12-19
IDEA开发的纯java源码 提供颁发私钥和证书接口,获取公私钥,自定义证书主题信息,同时提供合成pfx文件的接口 私钥数据和证书数据可通过ssl工具的匹配,可进行签名验签、加解密操作。
基于Java和Python实现简单的CA认证系统.zip
06-13
资源包含文件:设计报告word+源码及数据库sql文件 这是软件大型实验周的课设作品,用来实现一个简单的 CA 系统,它包含以下功能: 证书生成:用户提供 Certificate Signing Request (CSR)和 公钥后,系统会自动为用户生成证书并通过邮箱发放,支持 用于 SSL 和代码签名的两类证书证书吊销:用户发起证书吊销请求后,系统会为其更新 Certificate Revocation List (CRL),但考虑系统负荷,用户的吊销请求会被暂时记录,然后以天为单位更新,客户端可以通过 CRL Distribution Point(CRL 分发点:本系统分发点为:CRL Distribution Point)获取最新的 CRL 列表。 证书审核:用户的证书请求需要由管理员审核后才能颁发,因此我们写了一个简单的管理员审核功能。 详细介绍参考:https://biyezuopin.blog.csdn.net/article/details/122684531?spm=1001.2014.3001.5502
java证书签名_java编程方式用CA给证书进行签名/签发证书
weixin_39529128的博客
02-12 380
这些代码首先加载CA证书,然后分别用CA给Alice和Bob签发一个证书并保存到resource/目录下面,用jks格式存储。CA证书也是用java编程方式制作的,制作过程请看我的上一篇博客。public static void main(String[] args) throws KeyStoreException,NoSuchAlgorithmException, CertificateExc...
java签发数字证书代码
zymx(u010820135)的专栏
06-11 686
转自 http://blog.csdn.net/applezhengxd/article/details/4421052
java 生成根证书,并用根证书签发二级证书
m0_59802969的博客
11-17 992
证书
Java代码产生根证书签发证书(更新)
热门推荐
学海无涯 苦写博客
11-25 1万+
package com.zeph.android.cert; import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; import java.security.Inval
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值